Anwenderbericht:
IT-Sicherheit durch Firewall von GeNUA
GeNUGate - sicherer Hafen für Daten
Die Dr. Peters Gruppe beschäftigt sich mit großen Sachen: Sie sind 333 Meter lang, 58 Meter breit, wiegen mehr als 300.000 Tonnen und hören auf Namen wie „Titan Glory“. Die Rede ist von Very Large Crude Carriern - Supertankern. Dr. Peters ist ein Emissionshaus mit Sitz in Dortmund, das Anlegern Fonds anbietet und das Geld vor allem in Schiffe investiert. Heute fahren 32 Tanker und 33 große Handelsschiffe für die Fonds-Gesellschaft über die Weltmeere - damit hält das Unternehmen aus Westfalen auch die größte deutsche Schiffsflotte.
Das Fonds- und Flotten-Geschäft erfordert erhebliches Know-how, und die Anleger erwarten neben attraktiven Renditen auch zuverlässige Diskretion. Angesichts dieser Ansammlung sensibler Daten gelten hohe Anforderungen für die IT-Sicherheit. Vor allem der kritische Übergang vom Unternehmensnetz zum Internet muss effektiv geschützt werden. Als Kernstück der Sicherheitslösung arbeitet hier seit März 2004 eine Firewall vom Typ GeNUGate. Die entscheidenden Gründe für die Auswahl dieser Lösung: Als zweistufiges System mit Paketfilter und Application Level Gateway bietet die Firewall ein hohes Sicherheitsniveau. Zudem wurde die GeNUGate vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach dem Standard ITSEC umfassend geprüft und als einzige Firewall in der Stufe E3/hoch zertifiziert.
Neptune Glory: 332 Meter lang, 58 Meter breit, 299.017 Tonnen schwer
Die Dr. Peters Gruppe betreut mit 72 Mitarbeitern das Vermögen von über 34.500 Anlegern, insgesamt 1,75 Milliarden Euro bei einem Investitionsvolumen von rund 3,6 Milliarden Euro. Neben diesen erheblichen Einlagen ist das Vertrauen der Kunden das größte Kapital der Fonds-Gesellschaft. Sie müssen sich absolut darauf verlassen können, dass ihre Ersparnisse seriös investiert und verwaltet werden. Falls eingedrungene Viren fehlerhafte Abrechnungen verursachen oder vertrauliche Kundendaten über eingeschleuste Hacker-Programme an unbefugte Dritte gelangen sollten, wäre der Image- und der folgende wirtschaftliche Schaden für das Unternehmen immens.
Große Mengen sensibler Daten: IT-Sicherheit hat höchste Priorität
Ein wichtiger Wettbewerbsvorteil ist darüber hinaus das fundierte Know-how, das die Dr. Peters Gruppe seit der Auflage ihres ersten Fonds im Jahr 1975 gesammelt hat. Um beispielsweise heute einen Fonds für einen modernen Supertanker in Höhe von 80 Millionen Euro erfolgreich zu emittieren, bedarf es ausgefeilter Konzepte. Die Entwicklung des Rohöl- und Tankermarktes muss analysiert, lukrative Beteiligungsmöglichkeiten konzipiert, mit internationalen Partnern koordiniert und vertrieben werden. Auch diese wertvollen Informationen sind im Netzwerk der Fonds-Gesellschaft abgelegt. „Wir arbeiten mit einer Menge äußerst sensibler Daten, die vor Manipultation, Verlust und unberechtigten Zugriffen unbedingt geschützt werden müssen. Deshalb hat IT-Sicherheit für unser Geschäft höchste Priorität“, sagt Jürgen Salamon, geschäftsführender Gesellschafter bei Dr. Peters.
Aktive Inhalte erfordern Erweiterung der Firewall
Bei der IT-Sicherheit wird die Dr. Peters Gruppe von der Dr. Bülow & Masiak GmbH unterstützt, einem auf Netzwerk- und Internet-Lösungen spezialisierten Unternehmen. Die IT-Security-Experten empfahlen nach einer Risikoanalyse Anfang 2004, die Firewall-Lösung zu erweitern. Der Grund: Trotz des sehr restriktiven Datenaustauschs zwischen Unternehmensnetz (LAN) und Internet, lediglich Email- und WWW-Anbindung für die Mitarbeiter sowie eine FTP-Verbindung zum externen Webserver, bestand eine Gefährdung durch aktive Inhalte. Aktive Inhalte reisen Huckepack mit E-Mail- oder WWW-Daten und können beliebige Programme auf dem Ziel-Rechner ausführen, beispielsweise eine animierte Webseite aufbauen oder die Festplatte löschen. Die Anzahl dieser aktiver Inhalte im Datenverkehr, sowohl harmloser als auch schädlicher Applikationen, nimmt ständig zu.
Emmissionshaus Dr. Peters in Dortmund: IT-Sicherheit hat höchste Priorität
Die Sicherheits-Lösung bei Dr. Peters war auf diese Bedrohung jedoch nicht optimal ausgerichtet. Den Übergang LAN-Internet sicherte eine Firewall vom Typ „Paketfilter“, der jedoch auf dem Auge „aktive Inhalte“ blind ist. Denn ein Paketfilter prüft eingehende Daten anhand formaler Informationen wie Absenderadresse, des zur Übertragung verwendeten Protokolltyps und der angesteuerten Port-Nummer. Er kann jedoch nicht in die Datenpakete hineinschauen und somit auch keine aktiven Inhalte erkennen.
Verschärfte Kontrolle: Application Level Gateway prüft Dateninhalt
„Bei hohen Anforderungen an die IT-Sicherheit stoßen Paketfilter an ihre Grenzen. Hier sollte zusätzlich eine hochwertige Firewall vom Typ 'Application Level Gateway' eingesetzt werden, das die Daten aus dem Internet sorgfältig durchleuchtet“, erläutert Gerhard Bülow, Geschäftsführer der Dr. Bülow & Masiak GmbH. Ein Application Level Gateway schaut tief in den Datenstrom hinein. Dazu werden die ankommenden Pakete zunächst gestoppt - das Application Level Gateway lässt niemals eine durchgehende Verbindung zwischen Internet und LAN zu. Dann analysiert das System die Paketinhalte und blockt je nach Konfiguration schädliche Daten wie Viren, aktiven Content und auch Spam. Auch der Absender wird überprüft. Bei gefälschten Adressen, einem typischen Kennzeichen unerwünschter und eventuell gefährlicher Anfragen, werden die Datenpakete zurückgewiesen. Erst nach dieser sorgfältigen Kontrolle auf der inhaltlichen Ebene leitet das Application Level Gateway die Daten über eine neue Verbindung weiter ins LAN.
BSI empfiehlt mehrstufige Firewall-Lösung
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, an der kritischen Nahtstelle LAN-Internet nicht auf eine einzelne Firewall zu vertrauen. Vielmehr sollten zwei Paketfilter und ein Application Level Gateway miteinander kombiniert werden, mit der hochwertigen Firewall als Kernstück in der Mitte (PAP-Kontruktion).
GeNUGate: Zwei Firewall-Systeme in einer Lösung
Bei der Dr. Peters Gruppe wurde diese Konstruktion mit der Firewall GeNUGate umgesetzt. „Die vom BSI favorisierte, hochsichere PAP-Konstruktion lässt sich mit der Firewall GeNUGate optimal erreichen“, erklärt Gerhard Bülow: „Zum einen umfasst diese Lösung bereits ein anspruchsvolles Application Level Gateway und einen Paketfilter, und zum anderen hat das BSI selbst das Gesamtsystem GeNUGate als einzige Firewall nach dem Standard ITSEC in der Stufe E3 hoch zertifiziert.“ Das Firewall-System wird von dem Unternehmen GeNUA hergestellt, dessen hochwertige Sicherheitslösungen weltweit von Unternehmen und auch Behörden eingesetzt werden.
Firewall GeNUGate sorgt für hochwertige IT-Sicherheit
GeNUGate ist eine kompakte Lösung: Das Application Level Gateway und der Paketfilter sind ein einem Gehäuse untergerbracht, laufen jedoch auf getrennten Rechnern. Die Kontrollmechanismen der beiden Firewalls sind wiederum exakt aufeinander abgetimmt und ergänzen sich auf unterschiedlichen Ebenen zu einem effektiven Schutzschild. Administriert wird das Gesamtsystem über eine einheitliche Oberffläche im Browser, wobei die Verbindung mit SSL-verschlüsselt wird. Das zweistufige Firewall-System GeNUGate wurde bei Dr. Peters hinter dem bereits eingesetzten Paketfilter installiert - und somit die angestrebte PAP-Lösung realisiert.
Unabhängiges Gutachten: Extrem hohe Sicherheit ist gewährleistet
Das nun dreistufige Firewall-System ließ die Dr. Peters Gruppe von Prof. Dr. Rolf Lauser, Experte für Wirtschaftsinformatik/Datenschutz und Datensicherheit an der Fachhochschule München, begutachten. Das Ergebnis: „Die für das EDV-System benötigten, extrem hohen Sicherheitsmaßnahmen sind durch die installierten Sicherheitslevels der Firewall gewährleistet.“ Mit dieser Gewissheit im Rücken kann die Dr. Peters Gruppe sich ganz auf das Fondsgeschäft konzentrieren - mit Erfolg: Das jüngste Flotten-Mitglied ist 332 Meter lang, 58 Meter breit, wiegt 299.017 Tonnen und heißt „Neptune Glory“.
